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© Verfahren zum Dlagnostlzleren einer von Computervlren befallenen Datenverarbeltungsanlage. 



© Das Verfahren ist gekennzeichnet durch die Ver- 
wendung elnes, einen Algorlthmus enthaltenden, vi- 
rusfreien Programms P, aus dem zum Zeitpunkt x » 
to mit Hllfe des Algorithmus ein 
Programmauthentifizierungs-Code PAC » f (P) ge- 
bildet und, zusammen mit dem Programm abgespei- 
chert wird. Zu PrOfzwecken wird nun di&ses virus- 
frele Programm zu spSteren Zeltpunkten x = t1 , t2, 
t3, ... tn als KSderprogramm in die zu untersuchende 
Datenverarbeltungsanlage eingebracht und gestartet, 
der sich dabei jeweils § ergebende 
Programmauthentifizierungs-Code PAC mit dem ge- 
speicherten Programmauthentifizierungs-Code PAC 
verglichen und bei Ungleichheit ein Fehlersignal er- 
zeugt. 
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Vertahren zum Dlagnoatlzferen etner von Computerv.ren befaHenen Datanverarba.tungaan.afle 



Dte Erfindung betrifft ein Verfahren zum Dia- 
gnostizieren einer von Computerviren befaHenen 
Datenverarbeitungsanlage gemafl den Merkmalen 
des Oberbegriffs des Patentanspruchs 1. 

Computerviren haben die Eigenschaft. dafl sie 
ursprunglich sterile Programme infizieren. d.h. hirv- 
sichtlich Qualitat und Quantitat so verandern dafl 
die Funktion und eventuell die ISnge des befaHe- 
nen Programms mit denen des ursprilnglich sten- 
len Programms nicht mehr Qbereinstimmen. Em 
Virusprogramm kann dabei sowohl als isoliertes 
Programm als auch in Gestalt eines bereits infizier- 
ten Benutzerprogramms auftreten. In beiden Fa len 
besitzt es die Fahigkeit. eine Kopie von sich selbst 
zu erzeugen und in ein anderes Programm einzu- 
schleusen, das dann seinerseits wieder als Virus 
auftreten und weitere Programme infizieren kann 
mit der Foige, dafl sich Computerviren letztlich 
"lawinenartig" ausbreiten kSnnen. 

in Anbetracht des Schadens, den ein infiziertes 
Programm anrichten kann, kommt dem rechtzerti- 
gen Erkennen und Auffinden eines solchen Pro- 
gramms eine erhebliche Bedeutung zu. In der Pra- 
xis stSflt diese jedoch auf erhebliche Schwiengkei- 
ten, wei. einem Programm, zumal einem umfang- 
reichen Programm. auf den ersten Blick grundsitz- 
lich nicht anzusehen ist. ob es infiziert ist oder 
nicht. Vergleichstests mit Hilfe eines sterilen Exem- 
plars desselben Programms anhand einer rem visu- 
ellen Prilfung waren zwar grundsatzlich moglich. 
scheiden aber aus praktischen Erwagungen aus. 
Auch der Bnsatz der Datenverarbeitungsanlage zur 
ProgrammprUfung kommt letztlich nicht in Betrach , 
weil maschinell nicht mit letzter Sicherheit feststell- 
bar ist, ob ein Programm wirklich das tut. was es 
soli abgesehen davon. dafl noch vie. weniger fest- 
stelibar ist, ob ein Programm etwas tut. was es gar 

nicht soli. ^ M .... 

tm Qbrigen hMtten derartige Prufroutinen. falls 
sie erfolgreich realisiert werden kdnnten, nur dann 
einen Sinn, wenn sie beliebig oft wiederholt werden 
kSnnten. Virusprogramme kSnnen namlich mrt ei- 
ner besonderen Eigenart. der sogenannten 
"Ausloser"-Funktion behaftet sein. Das einge- 
schleuste Virus hSIt dann fUr einen vorbestimmten 
Zei'traum still und wird erst durch den sogenannten 
Ausloser, zum Beispiel durch eine im Programm 
eingearbeitete Zeitangabe oder durch spezielle 
Flags wirksam. Wenn man also vor eventuellen 
-Zeitbomben" sicher sein will, mufl die Datenverar- 
beitungsanlage fortlaufend im Hinblilck auf eventu- 
ell eingeschleuste und neu auftretende Viren unter- 
sucht werden. 

Der vorliegenden Erfindung liegt nun die Aut- 
gabe zugrunde. eine Methode zu finden. mit der 



eine einfache und beliebig wiederholbare UberprQ- 
fung einer Datenverarbeitungsanlage im Hinblick 
auf eventuell vorhandene Computerviren durchfUhr- 

bar ist. „ 
s Die Lc-sung dieser Aufgabe ergibt sich erfin- 
dungsgemSfl durch die kennzeichnenden Merkma- 
le des Patentanspruchs 1. Eine vorteilhafte Weiter- 
bildung des Erfindungsgedankens ist im Anspruch 
2 angegeben. 

, 0 Das erfindungsgemSfle Verfahren hat den Vor- 
teil dafl anstelle eines sehr aufwendigen Pro- 
grammvergleichs lediglich ein Vergleich zweier Co- 
des erforderlich ist. Vorausseteung fUr das Funktio- 
' nieren des erfindungsgemSflen Verfahrens ist eine 
,s zweifelsfrei sterile Kopie des Programms. das 
heiflt das Programm mufl auf einer Datenverarbei- 
tungsanlage hergestellt werden. von der mit Sicher- 
heit davon ausgegangen werden kann. dafl sie zum 
Zeitpunkt der Programmherstellung virusfre. war. 
2 o Die Gewahr, dafl ein steriles Vergleichs-'Normal 
vorhanden ist. kann am einfachsten mit einem von 
der Testperson selbst geschriebenen Programm 
gegeben werden, bei dem die Testperson sicher 
sein kann, dafl kein Virus eingepflanzt worden ist. 
as Das aufgrund einer Differenz zwischen den beiden 
Codes gelundene Virus kann dann gegebenenfalls 
isoliert und untersucht werden. Aus der Art und der 
Wirkungsweise des gefundenen Virus konnen 
schliefllich Methoden zur Desinfektion der Anlage 
30 entwickelt werden. 

Im folgenden wird die Erfindung anhand der 
Zeichnung nSher erlSutert. Dabei zeigen 

FIG 1 ein Blockschaltbild fUr eine Anordnung 
zur Erzeugung eines Testprogramms, 
35 FIG 2 ein Blockschaltbild Kir eine Anordnung 

zur DurchfOhrung eines Testdurchlaufs. 

Ausgangspunkt fUr das erfindungsgemafle Ver- 
fahren ist ein absolut virusfreies Programm P, des- 
sen Besonderheit dann besteht. dafl es einen i Algo- 
40 rithmus f enthSlt GemSB Figur 1 wird nun mit Hilfe 
dieses Algorithmus f zum Zeitpunkt to aus dem 
Programm P ein Programmauthentifizierungs-Code 
PAC erzeugt. der zusammen mit dem Programm P 
in einem Speichermedium M abgespeichert wird. 
45 Dieses, aus dem virusfreien Programm P und 
dem Programmauthentifizierungs-Code PAC gebil- 
dete Testprogramm wird nun gemafl Figur 2 zu 
spateren Zeitpunkten II. t2 ... tn als sogenanntes 
KSderprogramm in die zu untersuchende Datenver- 
so arbeitungsanlage eingebracht. urn feststellen zu 
kdnnen. ob diese Datenverarbeitungsanlage noch 
steril oder bereits von sogenannten Computerviren 
befallen ist. Dieser zum Beispiel durch einen in der 
Datenverarbeitungsanlage vorhandenen Zeitgeber 
T ausgelQste Test ISuft nun so ab. dafl aus dem 
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gespeicherten Testprogramm, d.h. mlt dem im Pro- 
gramm P enthaltenen Algorlthmus f em weiterer 
Programmauthentifizierungs-Code PAC erzeugt 
wird. Sowohl dieser neu gebildete Programmau- 
thentifizierungs-Code PAC' als auch der gespei- 5 
cherte Programmauthentifizierungs-Code PAC wer- 
den schlieBlich elnem Komparator COMP zuge- 
fQhrt, der bei Ungleichheit der Signals ein Fehiersi- 
gnal erzeugt. 



AnsprUche 

1. Verfahren zum Diagnostizieren einer von 
Computerviren befallenen Datenverarbeitungsanla- 75 
ge mlt Hllfe elnes Testprogramms, 
gekennzelchnet durch die Verwendung elnes, el- 

nen Algorlthmus f enthaltenden, vlrusfrelen Pro- 
gramms P, aus dem zum Zeltpunkt x = to mit 
Hilfe des Algorithmus ein 20 

Programmauthentifizlerungs-Code PAC = f (P) ge- 
blldet und zusammen mlt dem Programm abge- 
spelchert wird und dafl dieses virusfrele Programm 
zu spateren Zeitpunkten x' = t1, t2 f t3... tn als 
K5derprogramm In die zu untersuchende Datenver- 25 
arbeitungsanlage eingebracht und gestartet, der 
sich dabei jeweils ergebende 

Programmauthentifizierungs-Code (PAC ) mit dem 
gespeicherten Programmauthentifizierungs-Code 
(PAC) verglichen und bei Ungleichheit ein Fehlersi- 30 
gnal erzeugt wird. 

2. Verfahren nach Anspruch 1 , 

dadurch gekennzelchnet, da/3 der zu spMteren 
* Zeitpunkten gestartete Programmlauf durch einen 
in der Datenverarbeitungsanlage vorhandenen Zeit- 35 
geber ausgelQst wird. 
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